Bagle.AA.HTA
 

Hallo,

ich habe ein Win 2000 System auf dem sich der Wurm Bagle.AA.HTA breitgemacht hat. Im Donwload bereich gibt es ein Remove-Tool für Bagle,
funktioniert das auch für diese Variente des Wurms?
Habe es schon mit Anti-Vir versucht, den Wurm jedoch nicht wirklich wegbekommen (trotz Updates).
Kann mir jemand weiterhelfen?

@m0ngo
mehr info
http://www.trendmicro.com/vinfo/viru...e=HTML_BAGLE.Z

im Donwload bereich gibt es ein Remove-Tool für Bagle,
welchem downloadbereich?

chaosman

in welchem downloadbereich?

http://www.trojaner-info.de/programme.shtml

@m0ngo
es gibt sehr viele Bagle varianten, entweder googelst du mit
Bagle.AA.HTA + removaltool
oder du kannst gern ein Hijackthis logfile hier posten, dann können wir schauen wo er sich befindet.
http://www.hijackthis.de/ download
http://www.trojaner-board.de/51130-a...ijackthis.html anleitung

chaosman

So, hier das Log-File:

Logfile of HijackThis v1.98.2
Scan saved at 20:15:57, on 05.12.2004 ?.
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\BRMFRSMG.EXE
C:\WINNT\System32\atiptaxx.exe
C:\progra~1\paperp~1\pptd40nt.exe
C:\WINNT\System32\PspContr.Exe
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\WINNT\Mixer.exe
C:\Programme\web.de\SIPPS\SIPPS.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\Explorer.exe
C:\Programme\web.de\SIPPS\AddOn.bin
C:\Programme\AVPersonal\AVWIN.EXE
I:\antibagle.exe
I:\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PspContr] PspContr.Exe
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother MFC 9180\SetDefPrt.exe
O4 - HKLM\..\Run: [SfWinStartInfo] c:\sfirm32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SIPPS] C:\Programme\web.de\SIPPS\SIPPS.exe
O4 - HKCU\..\Run: [Task] C:\DOKUME~1\BRO~1\LOKALE~1\Temp\tasker.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {60EFC337-15C2-4369-B2A0-3429B071D8B8} (WebProgramManager Class) - http://ispe.sdc.hp.com/awebui/jsp/an...WebManager.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B9A5CBD-B05A-4126-94F3-1D7B990CAE4A}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{5B9A5CBD-B05A-4126-94F3-1D7B990CAE4A}: NameServer = 192.168.123.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{5B9A5CBD-B05A-4126-94F3-1D7B990CAE4A}: NameServer = 192.168.123.254

Du hast vermutlich noch mehr auf deiner Festplatte.

Scanne mal mit eScan im abg. Modus.